Перейти к содержанию
A.

Comodo Secure DNS вёл россиян на фишинговые сайты

Recommended Posts

A.

перепечатка с Вебпланеты http://webplanet.ru/news/security/2011/11/...secure_dns.html

--

Вчера некоторые пользователи жаловались на вирусы, которые пытались загрузиться на их компьютеры при попытке открыть сайт mail.ru. Другие, более продвинутые пользователи обнаружили, что причина такого поведения данного ресурса в том, что он поддельный.

Как выяснилось, "собака порылась" где-то на сайте Comodo. С некоторых пор на страничке сервиса Comodo Secure DNS, предоставляющего, как нетрудно догадаться, услуги по "безопасному" сопоставлению доменных имён и их IP-адресов, в качестве DNS-серверов указаны "левые".

В настоящий момент здесь красуется надпись:

"Switch Now!

It's quick and easy to change to Comodo Secure DNS. No downloads and it's absolutely free.

8.26.56.26

8.20.247.20"

Что означает, что всем, кто хочет воспользоваться услугами Comodo Secure DNS, необходимо прописать в соответствующих настройках приведённые IP-адреса. Между тем, на других страничках ресурса, например в ЧаВО, указаны совсем другие адреса — 156.154.70.22 и 156.154.71.22. Судя по всему, некие злоумышленники сумели взломать сайт Comodo и подменить адреса DNS-серверов своими — но сделали это не везде.

(Не исключено также, что это сам Comodo заменяет свои DNS-сервера. Но тогда это означает, что взлом куда более серьёзный.)

Соответственно, все или часть интернетчиков, которые пользуются сервисом Comodo Secure DNS, обслуживаются сейчас DNS-серверами, находящимися под контролем злоумышленников. Или же находившимися под их контролем. Хорошо если второе, потому что иначе это означает, что нехорошие люди в любой момент вместо реального IP-адреса того или иного сайта могут подсунуть пользователям Comodo IP-адрес своего сервера, на котором будет, например, расположена фишинговая страничка.

Так, похоже, случилось с mail.ru: на одном из форумов уверяют, что вчера главная страница этого ресурса раздавала вирусы. В действительности же, вирусы раздавал сервер 174.129.145.134, IP-адрес которого возвращают поддельные DNS-сервера Comodo. К слову, этот же IP возвращается ими по запросу yandex.ru (желающие могут убедиться в этом сами при помощи команд типа "nslookup yandex.ru 8.26.56.26" или их аналогов в системах, отличных от Windows).

Что там было размещено на 174.129.145.134 вчера, сказать трудно, поскольку в настоящий момент этот сервер не откликается. В действительности он принадлежит "Амазону" ("облачный" сервис Amazon EC2), который, очевидно, прибил размещённые на нём сайты, как только увидел, чем они занимаются.

В любом случае, если злоумышленники до сих пор имеют контроль над DNS-серверами 8.26.56.26 и 8.20.247.20, им ничто не мешает поднять другой вредоносный сервер и перенаправлять пользователей Comodo туда.

Интересно, что на форумах Comodo говорили о перенаправлении пользователей сайта postfinance.ch на всё тот же злополучный 174.129.145.134 ещё 27 октября. На данный момент официальной реакции Comodo на этот инцидент не поступало.

Между тем, глава пресс-службы Mail.Ru Group Валерия Комиссарова распространила посредством своего ЖЖ-аккаунта заявление о том, что её компания не имеет к данному инциденту никакого отношения.

"Произошло следующее - сервис Comodo взломали (по другой версии - произошел внутренний сбой) так, что он стал "думать", что сайты mail.ru, yandex.ru и другие - размещены не в наших дата-центрах, а на неком "левом" сервере. Таким образом, у всех пользователей, на компьютере которых были прописаны DNS Comodo, вместо mail.ru, yandex.ru и других сайтов открывалась левая страница. К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo)", — написала, в частности, она.

Напомним, что Comodo не в первый раз страдает от действий хакеров. Этой весной некий иранский хакер-патриот взломал сеть одного из доверенных партнёров компании и "выписал" для себя несколько поддельных SSL-сертификатов.

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v

следующий шаг это когда комодо вместо обновлений начнет малварь качать...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Umnik

И подписывать малварь и выписывать сертификаты сайтам с приватной информацией. WAIT... OH, SHI~

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

этожжжж неспроста, еще пара таких ляпов и банкрот как diginotar

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED

К счастью, таких пользователей немного (только те, кто установил и использует антивирус и защитные программы от Comodo) :lol::lol::lol: она обкуреная походу.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
еще пара таких ляпов и банкрот

Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

C другой стороны какие богатые возможности к накрутке репутации открываются :rolleyes:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Ну, иные олухи редиректят своих пользователей на сайты Fake AV: http://www.computerworlduk.com/news/securi...tivirus-attack/

и ничего, работают же до сих пор, не банкротятся.

Разницу между пользователями и посетителями сайта андестенд ? :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
Разницу между пользователями и посетителями сайта андестенд ? :)

Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
A.
Отсутствие разницы между пользователями и посетителями сайта, желавшими скачать AV, андестенд ?

Для тугих, еще раз:

1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
strat

да ладно, все равно из общей серии - компания занимающаяся безопасностью позволяет каким-либо способом заразиться юзерам.

если у одной строительной компании рухнет строящийся мост, а у другой рядом с офисом упадет плита с крыши на крыльцо с посетителями, то эффект сравним, особенно если жертвы будут.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
MORDRED
3. У ЛК никогда не было проблем с главными серверами и сервисами.

А как же взлом американского сайта касперского в 2009 году? тоже с серверами все ништяк?

"Американское зеркало веб-сайта «Лаборатории Касперского», известного российского производителя антивирусов, был взломан неизвестными злоумышленниками. В течение 3,5 часов официальный интернет-ресурс компании предлагал посетителям скачать вредоносные программы под видом ПО для защиты компьютера.

Как сообщает ресурс PC World, страницы с описанием продуктов от «Лаборатории» автоматически перенаправляли пользователей на мошеннические сайты, которые показывали им всплывающие окна с сообщениями об обнаруженных вирусах и об острой необходимости скачивания новейших «лекарств». Естественно, вместо защитных программ посетителям предлагалось загрузить опасные вирусы."

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntuser
1. Пользователи комода попадают на фишинговые и троянские сайты.

2. Пользователи ЛК если вдруг куда то и попадают - у них все детектится.

3. У ЛК никогда не было проблем с главными серверами и сервисами.

Для нелепо оправдывающихся, еще раз:

1. Пользователи/посетители USA сайта KL попадали на сайт, впаривающий им Fake AV.

2. Вы позволите мне не комментировать эту нелепую ахинею, а просто сделать скриншот на память ?

3. Редирект с сайта компании по безопасности на вредоносный сайт это сущая безделица, понимаю.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~

http://dev.recursive.dns.com/

перепечатка с Вебпланеты

--

...продвинутые пользователи...

...в качестве DNS-серверов указаны "левые"...

8.26.56.26

8.20.247.20

...mail.ru, yandex.ru и другие...

...ЖЖ...

(Обновлено) Внимательное изучение форума Comodo выявило, что 8.26.56.26 и 8.20.247.20 — это новые DNS-сервера сервиса Comodo, которые ещё недавно имели статус беты. Иначе говоря, подтверждается вторая гипотеза о том, что взломан не сайт Comodo, а что-то более серьёзное.

Раньше адреса DNS-серверов были другие: 156.154.70.22 и 156.154.71.22. © продвинутый пользователь из ЖуЖучки

A., спасибо, улыбнуло, перепечатайте ещё что-нибудь (из ЖЖ или Одноклассничков)

Предпочитаемый DNS: 156.154.70.25

Альтернативный DNS: 156.154.71.25

(с) online HELP

"продвинутый пользователь" наверняка поиск майл.ру пользует :)

  • Upvote 5

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl

A., думаю, что лучше всё-таки читать мануалы, а не желтушные изданьица. А в мануалах вполне явно написано, что:

Primary DNS : 156.154.70.22

Secondary DNS : 156.154.71.22

для англоязычных пользователей и

Preferred DNS : 156.154.70.25

Alternate DNS : 156.154.71.25

для остальных. Это во-первых.

Во-вторых, 8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

В-третьих, 174.129.145.134 - это сервер, который показывает алерт Secure DNS.

http://help.comodo.com/topic-72-1-284-3002...NS-Service.html

http://dev.recursive.dns.com/switch/

ЗЫ. Очень повеселил "компетентный" камент от "главы пресс-службы Mail.Ru Group Валерии Комиссаровой". Стоило бы ей напомнить, что не так уж и давно mail.ru абсолютно по-настоящему и месяцами распространял самую натуральную малварь через свой кривой редирект, а их саппорт и слышать ничего не хотел про это.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
priv8v
8.26.56.26 и 8.20.247.20 сервера нового сервиса с контент-фильтрацией. И такие они уже очень давно, никто их не "взламывал", ужос, ужос.

тогда объясните что это было. почему редиректили?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ntoskrnl
тогда объясните что это было. почему редиректили?

priv8v, мне, если честно, сложно понять, "что это было", поскольку вся приведённая, с позволения сказать, статья - один большой испорченый телефон. CSDNS блочит mail.ru с вердиктами "social" и "phishing", естественно, что в силу специфики он может делать это только "редиректом", если угоден такой термин. Этот факт может быть весьма неудобен для пользователя, о чём много раз говорилось, скажем здесь, тем более, что сервис, в котором пользователь сможет управлять исключениями и блокировками, ещё на бета-стадии, но это не имеет отношения к распространению чего-либо вредоносного, как утверждается. Если внимательно изучить ссылки, приведённые в "статье", то станет ясно, что этот вывод построен целиком на домыслах её автора и на странной интерпретации тех материалов. Один автор заявил, что у него "эксплойты на майлру", другой сделал два "открытия", что CSDNS, "оказывается", "перенаправляет" mail.ru и что серверов CSDNS несколько, третий не нашел ничего умнее, как, по какой-то своей логике, увязать эти факты между собой, четвертый слепил из этого "жареную новость" руководствуясь своми представлениями, скорее всего, начисто отсутствующими, о работе сетей и т.п., в результате на ©"информационно-аналитическом портале по информационной безопасности" мы обсуждаем это бульварное творение.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
~Джон Доу~
тогда объясните что это было...
перепечатка с Вебпланеты...
... вирусы раздавал сервер 174.129.145.134 igor_krein

Разве "продвинутые пользователи" (1 шт. - dil) не объяснил в ЖуЖу ?

(про то, как правильно установить BETA)

2:47

"Моя дорогая, бедная мама уронила меня с …надцатого этажа."

"…как трахнет меня… с четырнадцатого этажа…"

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • ArktiTig
      Арктика - северная полярная область Земли, включающая окраины материков Евразии и Северной Америки, почти весь Северный Ледовитый океан с островами и прилегающие к нему части Атлантического и Тихого океанов. Название её происходит от греческого слова arctos (медведь) и связано со звёздами: Полярная звезда, находящаяся почти точно в зените над Северным полюсом, принадлежит к созвездию Малая Медведица.
    • PR55.RP55
      .xml  файлы taskschd.msc Могут быть подписаны  цифровой подписью. Думаю будет нелишним, если uVS будет это фиксировать. т.е. проверять не только подпись целевого файла, но и подпись самого файла\задачи. и писать в ИНфО .  
    • demkd
      ---------------------------------------------------------
       4.15.2
      ---------------------------------------------------------
       o Исправлена ошибка при работе с образом автозапуска.
         Для некоторых процессов команда unload не добавлялась в скрипт при нажатии кнопки "принять изменения".  o Добавлена плашка окна на таскбаре для окна удаленного рабочего стола.
         (при работе с удаленной системой) -----------------------------------------------------------
      Есть проблема с локализацией глюка в редких случаях приводящему к аварийному завершению uVS при активном флаге "Проверять весь HKCR".
      На основе дампов его найти не получается, нужна копия реестра системы с такой проблемой, если кому-то попадется такая проблема, то присылайте архив с копией реестра системы мне на почту.  
×